So sánh Bản sửa đổi

корпоративный firefox, центры сертификации, CA

Узнайте, как настроить центры сертификации в Корпоративном Firefox.

[[Template:Enterprise]] Если ваша организация использует частные центры сертификации (CA) для выпуска сертификатов для внутренних серверов, браузеры, такие как Firefox, могут отображать ошибки, пока вы не сконфигурируете их на распознавание этих частных сертификатов. Это следует сделать на ранней стадии, чтобы у ваших пользователей не возникало проблем с доступом к веб-сайтам. Вы можете добавить эти CA-сертификаты с помощью одного из следующих методов. =Использование политик для импорта CA-сертификатов (рекомендуется)= Начиная с [[Find what version of Firefox you are using|Firefox версии]] 64, для добавления CA-сертификатов в Firefox можно использовать [[Customizing Firefox Using Group Policy (Windows)|корпоративную политику]]. *Установке ключа ''ImportEnterpriseRoots'' в значение '''true''' приведёт к тому, что Firefox будет доверять корневым сертификатам. Мы рекомендуем эту опцию для добавления в Firefox доверия к частным PKI. Это равноценно настройке параметра {pref security.enterprise_roots.enabled}, как описано ниже в секции о встроенной поддержке Windows и macOS. *Ключ ''Install'' по умолчанию будет совершать поиск по сертификатам в расположениях, перечисленных ниже. Начиная с Firefox 65 вы можете указать полный путь (смотрите ''cert3.der'' и ''cert4.pem'' в [https://github.com/mozilla/policy-templates/blob/master/README.md#Certificates этом примере]). Если Firefox что-то не найдёт в вашем полном пути, он будет искать в директориях по умолчанию: **Windows ***%USERPROFILE%\AppData\Local\Mozilla\Certificates ***%USERPROFILE%\AppData\Roaming\Mozilla\Certificates **macOS ***/Library/Application Support/Mozilla/Certificates ***~/Library/Application Support/Mozilla/Certificates **Linux ***/usr/lib/mozilla/certificates ***/usr/lib64/mozilla/certificates =Использование встроенной поддержки Windows и macOS= Установка параметра {pref security.enterprise_roots.enabled} в значение true на странице ''about:config'' включит корпоративную корневую поддержку Windows и macOS. ==Поддержка Корпоративного Windows= Начиная с версии 49, Firefox можно сконфигурировать на автоматический поиск и импорт CA, которые добавляются в хранилище сертификатов Windows пользователем или администратором. #[[Template:aboutconfig]] #Найдите параметр {pref security.enterprise_roots.enabled}. #Нажмите кнопку ''Переключить'' [[Image:Fx71aboutconfig-ToggleButton]] рядом с этим параметром, чтобы изменить его значение на {pref true}. #Перезапустите Firefox. Firefox проверит расположение реестра ''HKLM\SOFTWARE\Microsoft\SystemCertificates'' (относящееся к флагу API ''CERT_SYSTEM_STORE_LOCAL_MACHINE'') на наличие CA, которым доверено выпускать сертификаты для проверки подлинности веб-сервера TLS. Каждый CA будет импортирован в Firefox, и он будет им доверять, однако они могут не появиться в менеджере сертификатов Firefox. Администрирование этих CA должно осуществляться с помощью встроенных в Windows инструментов или других сторонних утилит. '''Firefox версии 52:''' Firefox будет также совершать поиск в расположениях реестра ''HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates'' и ''HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates'' (относящихся к флагам API ''CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY'' и ''CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE'' соответственно). {note}'''Примечание:''' Эта настройка тоько импортирует сертификаты из Хранилища доверенных корневых центров сертификации Windows, которое не относится к хранилищу Промежуточных центров сертификации. См. [https://bugzilla.mozilla.org/show_bug.cgi?id=1473573 баг 1473573]. Если вы сталкиваетесь с ошибками ''неизвестный издатель'' даже после включения этой функции, попробуйте сконфигурировать свой TLS-сервер на ключение необходимых промежуточных сертификатов в рукопожатие TLSe.{/note} ==Поддержка Корпоративного macOS= Начиная с Firefox 63 эта функция также работает для macOS посредством ипорта корневиков, найденных в системной цепочке ключей MacOS. =Linux= ==Использование p11-kit-trust<!-- -->.so на Linux== Сертификаты могут импортироваться программно с помощью ''p11-kit-trust<!-- -->.so'' из ''p11-kit'' (обратите внимание, что некоторые дистрибутивы, например, на основе Red Hat, уже делают это по умолчанию, поставляя ''p11-kit-trust<!-- -->.so'' как ''libnsscbki<!-- -->.so''). Это можно сделать через настройку [https://github.com/mozilla/policy-templates#securitydevices политики SecurityDevices] в ''/etc/firefox/policies/policies.json''' и добавление записи, указывающей на расположение ''p11-kit-trust<!-- -->.so'' в системе, добавив его вручную с помощью менеджера “Устройства безопасности” (“Security Devices”) в Настройках или с помощью утилиты modutil. ==Предзагрузка Базы данных сертификатов (только новые профили)== Некоторые люди создают новый профиль в Firefox, устанавливая необходимые сертификаты, и затем распространяют несколько db-файлов (''cert9.db'', ''key4.db'' и ''secmod.db'') по новым профилям с помощью этого метода. Этот подход не рекомендуется и этот метод работает только для новых профилей. ==Certutil== Вы можете использовать certutil для обновления баз данных сертификатов Firefox из командной строки. Ознакомьтесь с [https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/certutil сайтом поддержки Microsoft] для получения дополнительной информации.